§ 4. Обработка персональных данных

В настоящее время необходимость создания комплексного правового регулирования вопросов сбора, хранения, обработки и передачи персональных данных граждан очевидна и не подвергается сомнению, однако так было не всегда. С началом применения технологии в деле сбора и обработки информации выявились два различных подхода к этому вопросу: позитивный и негативный <1>. Сторонники негативного подхода считали, что разработка специальной правовой процедуры для сбора и обработки персональных данных не требуется. По их мнению, информатика не внесла ничего нового в эту область. Сведения о населении собирались всегда, и в чисто техническом отношении не было резкого перехода от ручных картотек к электронным.

--------------------------------

<1> Пилипенко А.Н. Законодательство Франции об электронной обработке информации о гражданах в аспекте основных прав. С. 26.

Аргументация сторонников позитивного подхода строилась на одном из основных законов материалистической диалектики о переходе количественных изменений в качественные. В соответствии с ним применение информатики создало качественно новую ситуацию в обработке информации, в том числе информации о гражданах. Возможность быстрого аккумулирования, группировки, сопоставления и распространения данных средствами электронной коммуникации создает условия для легкого доступа к этим данным. В связи с этим необходимо создание качественно нового правового регулирования вопросов сбора и обработки информации о гражданах, учитывающего особенности автоматизированной обработки этой информации <1>.

--------------------------------

<1> Пилипенко А.Н. Законодательство Франции об электронной обработке информации о гражданах в аспекте основных прав. С. 8.

Итак, как мы уже говорили, именно с началом применения автоматизированной обработки информации, т.е. обработки с помощью средств электронной техники и технологии, появилась необходимость в особой правовой регламентации этой деятельности.

Появление Интернета с его неограниченными возможностями накопления, передачи и синтеза информации поставило вопрос о защите персональных данных, содержащихся в автоматизированных информационных системах, на качественно иной уровень.

Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных, осуществляемые с использованием средств автоматизации или без использования таких средств, если последнее соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации (ст. 1).

Согласно п. 9 ст. 3 данного Закона информационная система персональных данных - это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

В целях обеспечения защиты персональных данных граждан в информационных системах персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны, законодательством установлен специальный порядок (правовой режим) обработки этих данных. Специальный порядок обработки включает в себя перечень субъектов, уполномоченных вести сбор и обработку персональных данных, права и обязанности субъектов персональных данных, принципы и условия этой обработки, меры контроля и ответственности за нарушение законодательства в этой области.

Действие рассматриваемого Закона не распространяется, во-первых, на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных, т.е. в данном случае действует правило "разрешено все, что не запрещено", и законодатель не вмешивается в частную деятельность лиц по сбору персональных данных до тех пор, пока эти действия не нарушают прав и свобод субъекта персональных данных и не содержат признаков правонарушения.

Во-вторых, действие рассматриваемого Закона не распространяется на организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле.

В-третьих, Законом не регулируется правовой режим обработки подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя.

В-четвертых, Закон не распространяется на обработку персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Порядок обработки этих сведений регулируется законодательством о государственной тайне.

В-пятых, действие Закона не распространяется на информационные отношения, возникающие при реализации Федерального закона от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Вышеперечисленная часть сведений, выведенная из сферы действия Закона о персональных данных, регулируется специальными законодательными и иными нормативными актами.

Как уже отмечалось, значительная часть Закона о персональных данных посвящена регулированию вопросов обработки персональных данных. Что представляет собой обработка персональных данных?

Уже отмечалось, что законодатель придал этому термину слишком широкое содержание, ему не свойственное. В связи с этим нельзя не отметить, что непременным условием правильного понимания, толкования и применения Закона является его изложение терминами и категориями, адекватно отражающими смысл и содержание понятий в соответствующем (в нашем случае - русском) языке. Кто, в самом деле, будет считать сбор каких-либо предметов, вещей их обработкой? А как быть, когда персональные данные собирают журналисты? Нельзя же назвать обработкой персональных данных сбор сведений об известных людях, например трагически закончившееся преследование принцессы Дианы? Все вышеизложенное равным образом относится и к трактовке термина "обработка" как уничтожение. Разве "наводя порядок" в персональном компьютере и удаляя ненужные файлы, мы считаем это обработкой?

Таким образом, фактически в Законе о персональных данных идет речь о двух понятиях - "оборот" и "обработка". Оборот как более широкое понятие охватывает весь цикл движения персональных данных - от сбора до уничтожения. Обработкой же следует считать действия с уже собранными для определенных целей персональными данными (хранение, обновление, уточнение, блокирование, использование, распространение и т.п.).

Использование наряду с термином "обработка" термина "оборот" больше соответствовало бы и заявленной цели Закона: обеспечению защиты прав и свобод человека и гражданина, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

Согласно ст. 3 Закона о персональных данных под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

При этом согласно той же статье под распространением персональных данных подразумеваются действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных - это действия с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных - это временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Уничтожение персональных данных - это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Подробное раскрытие содержания отдельных операций с персональными данными, охватываемых термином "обработка", является безусловным плюсом рассматриваемого Закона. Однако возникает вопрос: почему законодатель детализирует содержание только этих операций, а остальные (сбор, систематизация, накопление, хранение, уточнение, обновление) остаются за пределами его внимания и содержание их остается нераскрытым? Ведь при осуществлении указанных операций столь же возможны различные нарушения, поэтому раскрытие в Законе их содержания обеспечило бы дополнительные гарантии соблюдения законности в процессе правоприменения. Особенно это касается такой операции, как сбор, без которой немыслимы практически все остальные.

Недостаток рассматриваемого Закона, связанный с использованием термина "обработка", уже привлек к себе внимание специалистов. Так, А.С. Маркевич в своем научном исследовании справедливо отмечает, "что объединяя все эти действия (операции) под одним определением "обработка", законодатель уже... создает путаницу, которая способна привести к невозможности исполнения этого закона с необходимой степенью эффективности. В нормах Закона о персональных данных неоднократно приводится требование о согласии гражданина на обработку его персональных данных, но без уточнения того, в чем эта обработка заключается. Например, если человек дает согласие на сбор его персональных данных, то, опять же, это вовсе не означает, что он согласен и на дальнейшее распространение этих данных, однако, в силу рассматриваемого закона, и сбор, и распространение являются обработкой. Согласие гражданина потребуется и на любые дальнейшие манипуляции с этими персональными данными, включая их обезличивание и статистические исследования, что на практике означает необходимость получения от гражданина (работника) его предварительного согласия при каждом последующем действии с персональными данными. Получается, что если на обработку персональных данных определенного характера требуется согласие гражданина, то это теоретически позволит защитить его право на защиту информации только во время сбора персональных данных. Соответственно, соглашаясь на обработку своих персональных данных, человек может оказаться в полной зависимости от того, насколько добросовестно и разумно будет трактовать слово "обработка" тот, кто эти данные собирает" <1>.

--------------------------------

<1> Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: Автореф. дис. ... канд. юрид. наук. Воронеж, 2007.

Прежде чем приступить к рассмотрению вопросов, связанных с собственно обработкой персональных данных, затронем вопрос о принципах обработки персональных данных (ст. 5 Закона о персональных данных). К ним, в частности, относятся:

- принцип законности целей и способов обработки персональных данных и добросовестности;

- принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

- принцип соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки;

- принцип достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным оператором целям;

- принцип недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Перечисленные принципы обработки персональных данных являются, по сути, лишь принципами деятельности операторов информационных систем персональных данных. Соблюдение этих принципов обеспечивает законность обработки персональных данных граждан и является гарантией защиты от злоупотреблений со стороны операторов. Однако принципы обработки не есть принципы оборота. Если принять во внимание, что целью рассматриваемого Закона является "обеспечение защиты прав и свобод человека и гражданина, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну", то можно сделать вывод о том, что принципами данного Закона должны, скорее, являться более общие и основополагающие положения. Такими принципами могут быть, например, принцип добровольности предоставления персональных данных субъектом, принцип законности деятельности операторов и т.п.

Главным, на наш взгляд, принципом обработки персональных данных должна являться добровольность их предоставления для обработки субъектом персональных данных (ст. 6 Закона о персональных данных). По общему правилу лицо вправе давать или не давать согласие на обработку своих персональных данных тому или иному оператору. Субъект персональных данных имеет также право свое согласие отозвать. В ряде случаев, например для создания общедоступных источников персональных данных, согласие должно быть выражено в письменной форме.

Законодатель признает, что вопрос о согласии субъекта персональных данных является принципиально важным. В готовящемся в настоящее время законопроекте о внесении изменений и дополнений в Закон о персональных данных предложена даже более строгая формулировка - "письменное соглашение" о предоставлении персональных данных субъекта, включающее все условия их обработки, цели и виды действий <1>.

--------------------------------

<1> Законопроект N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" // www.fz-152.org.

В соответствии со ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего его цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных осуществляется в связи с реализацией международных договоров Российской Федерации о реадмиссии (реадмиссия - это согласие государства на прием на свою территорию своих граждан (или иностранцев, ранее проживавших в этом государстве), подлежащих депортации из другого государства. - Н.И);

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Таким образом, согласия субъекта персональных данных на предоставление его персональных данных не требуется в случаях, когда речь идет об обеспечении государственных или иных жизненно важных интересов самого субъекта персональных данных, а именно защиты конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обороны и безопасности страны и т.п. (ст. 9 Закона о персональных данных). Такая позиция законодателя является полностью обоснованной. Однако именно поэтому вызывает сомнение необходимость предоставления персональных данных субъектами для осуществления профессиональной деятельности журналиста, а также в целях литературной, научной или иной творческой деятельности. Осуществление подобных видов деятельности, как правило, не связано напрямую с обеспечением каких бы то ни было государственных, общественных или личных интересов как самого субъекта персональных данных, так и других лиц. Напротив, практика осуществления журналистской деятельности в современной России, скорее, свидетельствует об обратном. Обилие заказных материалов, поиск дешевых сенсаций и "война компроматов" в СМИ тому пример. В связи с этим норма об обязательности предоставления персональных данных для этих целей нам кажется излишне строгой и, самое главное, нарушающей права человека на неприкосновенность частной жизни. По нашему мнению, субъект персональных данных должен иметь право самостоятельно решать вопрос о предоставлении своих персональных данных для целей осуществления журналистской, литературной, научной и иной творческой деятельности.

Кстати, в Конституции РФ ведь не случайно на первое место поставлен термин "искать информацию", а не "получать информацию" (ч. 4 ст. 29). Думается, это напрямую связано с правами гражданина в отношении информации личного характера: предоставить какую-либо ее часть для использования, например журналисту, или отказать.

Анализ ст. 6 Закона о персональных данных позволяет сделать вывод о том, что далеко не во всех случаях законодателю удалось успешно осуществить гармонизацию прав человека на неприкосновенность частной жизни, личную и семейную тайну и права на свободный поиск и получение информации. По-видимому, на этот недостаток Закона уже обратили внимание специалисты, потому что в готовящихся законопроектах о внесении изменений в Закон о персональных данных пункт об обязательном предоставлении данных для журналистской и иной подобной деятельности исключен <1>.

--------------------------------

<1> Законопроект N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" // www.-fz-152.org.

Согласно ст. 8 Закона о персональных данных общедоступные источники персональных данных могут включать с письменного согласия субъекта персональных данных его фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и другие данные по желанию субъекта. Персональные данные субъекта по его требованию могут быть в любое время исключены из общедоступных источников.

Обработка специальных категорий персональных данных по общему правилу запрещена (ст. 10 Закона о персональных данных). Этой нормой ограничивается включение наиболее "чувствительной" информации личного характера в область публично-правовых отношений.

Однако существует целый ряд исключений из этого правила, которые, кстати, довольно существенно снижают эффективность этой нормы. Обработка допускается, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

1.1) обработка персональных данных требуется в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;

5) обработка персональных данных участников общественного объединения или религиозной организации осуществляется ими для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.

Нам представляется, что возможность обработки специальных категорий персональных данных с письменного согласия индивида может привести к злоупотреблениям.

Попробуем представить, как эта норма будет реализовываться на практике. Прежде всего возникает вопрос: кому и с какой целью потребовалось собирать специальные категории персональных данных, если это в целом запрещено законом? Понимал ли субъект персональных данных правовые последствия своего согласия? Добросовестно ли это согласие получено (вспомним, что в теории права есть специальное понятие "порок воли")?

Фактически разрешение сбора специальных категорий персональных данных с письменного согласия их обладателя сводит на нет запрет на сбор и обработку специальных категорий персональных данных, установленный в ч. 1 ст. 10, что открывает дорогу самым разнообразным злоупотреблениям.

По нашему мнению, любые действия (операции) с персональными данными, относящимися к специальным категориям, за исключением случаев, связанных с обеспечением общественной безопасности и правопорядка и отправлением правосудия (п. п. 6 и 7 ч. 2, ч. 3 ст. 10 Закона о персональных данных), должны осуществляться не с письменного согласия, а с письменного волеизъявления субъекта персональных данных, т.е. инициатива в отношении совершения любых действий (операций) со специальными категориями персональных данных субъекта должна исходить от него самого и выражаться в виде его прямого волеизъявления (обращения, заявления), составленного в письменной форме.

В отношении обработки биометрических персональных данных также установлены некоторые ограничения. Так, биометрические персональные данные могут обрабатываться только при наличии письменного согласия субъекта персональных данных, за исключением случаев, когда они обрабатываются в связи с осуществлением правосудия, реализацией международных договоров Российской Федерации о реадмиссии, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством, законодательством о порядке въезда в Российскую Федерацию и выезда из нее (ст. 11 Закона о персональных данных).

Обработка персональных данных, осуществляемая в государственных и муниципальных информационных системах персональных данных, может иметь особенности, установленные федеральными законами. К этим особенностям мы можем отнести и рутинное использование, и применение идентификаторов, и создание закрытых информационных систем, т.е. многое из того, что Законом о персональных данных по тем или иным причинам не урегулировано.

Важной теоретической и практической проблемой, связанной с вопросом обработки персональных данных, является проблема правового статуса оператора. Как известно, правовой статус складывается из право- и дееспособности и комплекса прав и обязанностей.

Надо сказать, в нынешней редакции Закона о персональных данных правовой статус оператора разработан слабо. Об этом свидетельствует огромное количество вопросов, поступающих специалистам по правовому регулированию оборота персональных данных.

Прежде всего необходимо определить, какие лица и органы по смыслу Закона являются операторами. Согласно п. 2 ст. 3 Закона о персональных данных оператором признается государственный или муниципальный орган, физическое или юридическое лицо, организующее и (или) осуществляющее обработку персональных данных и определяющее цели и содержание этой обработки.

Из этого определения следует, что оператором может быть признано любое лицо или орган, осуществляющие сбор и обработку персональных данных не для личных целей.

Согласно нормам Закона оператор обладает следующими правами:

- правом устанавливать цели сбора персональных данных;

- правом устанавливать сроки хранения и способы обработки персональных данных;

- правом определять в установленных Законом пределах средства и методы защиты информационных систем данных, определять регламент работы информационных систем данных;

- правом собирать персональные данные из общедоступных источников или с согласия субъекта персональных данных.

Очевидно, что государственные и муниципальные органы в качестве операторов обладают дополнительными правами, связанными с реализацией возложенных на них полномочий.

Обязанности оператора можно условно разделить на несколько групп: обязанности при сборе персональных данных, обязанности собственно при обработке персональных данных, обязанности по отношению к субъектам персональных данных, обязанности по устранению нарушений порядка обработки персональных данных.

При сборе персональных данных оператор обязан предоставить субъекту персональных данных (а последний имеет право требовать получения) информацию:

1) о факте обработки персональных данных субъекта и цели обработки;

2) о способах обработки персональных данных оператором;

3) о лицах, имеющих доступ к персональным данным;

4) перечень обрабатываемых персональных данных и источник их получения;

5) о сроках обработки и хранения персональных данных;

6) о возможных юридических последствиях обработки персональных данных субъекта.

В обязанности оператора при сборе персональных данных входит также обязанность предоставить субъекту персональных данных по его запросу информацию о находящихся в информационной системе персональных данных субъекта (ст. 18 Закона о персональных данных).

Если данные были получены не от самого субъекта, за исключением случаев, когда персональные данные получены оператором на основании федерального закона или из общедоступных источников, оператор до начала обработки должен предоставить субъекту следующую информацию:

1) наименование и адрес оператора;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) права субъекта персональных данных.

Здесь необходимо сделать небольшое отступление. В рассматриваемой статье появляется новый субъект правоотношений по обороту персональных данных - пользователь персональных данных. Нужно отметить, что больше нигде в тексте рассматриваемого Закона этот термин не встречается и значение его не разъяснено. Исходя из контекста Закона можно сделать вывод, что он обозначает группу лиц, имеющих право на доступ и использование собранных персональных данных на законных основаниях.

И здесь мы подходим к очень важной теоретической и практической проблеме, которая по непонятным причинам ускользнула от внимания разработчиков Закона.

Проблема эта заключается в неопределенности трактовки понятия "оператор". Ведь, во-первых, персональные данные могут собираться оператором как подрядчиком, а затем созданный информационный продукт может передаваться для использования другому лицу - пользователю. Пользователями могут быть государственные и муниципальные органы, организации различных форм собственности, а также лица, осуществляющие журналистскую, научную и иную творческую деятельность.

Во-вторых, и это еще более вероятно, оператор, устанавливающий цели сбора персональных данных (он же пользователь), может поручать их обработку и хранение специализированному подрядчику. Учитывая значительные технические, организационные и материальные затраты, необходимые для обработки персональных данных, легко предположить, что этим будут заниматься специализированные организации в качестве предпринимательской деятельности.

За рубежом такая практика широко распространена. Если у нас государственные органы и частные лица вдруг, с принятием нового Закона, получили статус операторов и спешно пытаются привести свою деятельность в соответствие с новыми требованиями, параллельно разбираясь с возникающими вопросами, то зарубежная практика, давно прошедшая этот этап, обогатилась новыми формами предпринимательской деятельности на этом поприще. В Европе и США существует особый и весьма доходный вид предпринимательской деятельности, связанный с организацией хранения и обработки персональных данных операторов специальным подрядчиком. Строятся и функционируют Data-хранилища - огромные помещения, оснащенные сертифицированным электронным оборудованием, системами защиты, необходимыми программами обработки файлов. Работа этих центров прекрасно обеспечена не только с технической, но и с организационной точки зрения. Разрабатываются целые пакеты внутренних документов, регламентирующих все этапы и виды работы с файлами данных, мониторинг состояния телекоммуникационного и иного технического оборудования, систем внутренней защиты. Особое внимание уделяется подготовке и обучению персонала. Подрядчик, которому принадлежит центр, принимает на хранение файлы данных у операторов и обеспечивает весь комплекс мероприятий по их обработке, хранению и защите. Такие центры скоро появятся и у нас в стране. Вероятно, в скором времени сформируется целый рынок подобного рода услуг. Хочется надеяться, что отечественные инвесторы не упустят возможность занять на этом рынке лидирующее положение. Пока же, насколько известно автору, инициатива в этом отношении находится полностью в руках крупных западных, в частности американских, компаний.

Российский Закон о персональных данных понятие "оператор" не дифференцирует, поэтому возникает еще одна проблема. Сейчас по смыслу Закона признается оператором и тот, кто определяет цели, и тот, кто осуществляет собственно обработку. Тогда, впрочем, не ясно, кто же такой пользователь. Получается, что и он тоже является оператором, раз использует персональные данные для собственных целей.

Отечественные специалисты уже обратили внимание на этот недостаток Закона. Как отмечает в своей статье О. Сухарева, "множество проблем породил слишком широкий подход к понятию оператора персональных данных. На практике обычно существуют заказчик и подрядчики, организующие в интересах заказчика проведение маркетинговых акций и в том числе обработку персональных данных потребителей. При этом обычно задействовано множество подрядчиков и субподрядчиков, между которыми происходит обмен данными: центр организует одна фирма, рассылку - другая, коммуникации через сайт - третья, а сводные базы данных потребителей хранятся еще где-то. В таких условиях заказчик не имеет реальной возможности контролировать обработку данных. Поскольку по Закону именно оператор персональных данных несет всю полноту ответственности за соблюдение прав субъекта, и заказчики, и подрядчики всеми силами стремятся избежать звания оператора. Законодатель тем не менее причесал под одну гребенку всех: введенный им термин позволяет причислить к операторам и тех, кто непосредственно обрабатывает данные, и тех, в чьих интересах осуществляется обработка.

В экспертном сообществе существует точка зрения, согласно которой разграничение между оператором и неоператором ("обработчиком", "третьим лицом") все же можно провести. Критерием служит определение целей обработки. Компания, определяющая цели, и является оператором. Все остальные относятся к третьим лицам, которым оператор поручает обработку данных на основании договора <1>.

--------------------------------

<1> Кадровая служба и управление персоналом предприятия. 2010. N 1 // СПС "КонсультантПлюс".

Думается, можно согласиться с таким подходом. Оператор тот, кто определяет цели сбора персональных данных. Однако если оператор по закону и несет всю полноту ответственности, то подрядчик, берущий на себя всю техническую и организационную сторону, связан требованиями Закона не меньше, поэтому крайне важно установить в Законе правовой статус обоих и формы их взаимодействия и контроля, как это сделано в большинстве европейских законов, предусматривающих возможность передачи оператором чисто технических функций обработки и хранения персональных данных специальной организации-обработчику и устанавливающих специальные нормы, позволяющие обеспечивать конфиденциальность персональных данных при передаче их обработчику.

Например, Закон об обработке персональных данных Дании предусматривает, что "если оператор разрешает осуществлять обработку данных обработчику, то он должен удостовериться, что обработчик удовлетворяет техническим и организационным мерам безопасности, установленным в законе, и должен гарантировать соответствие этим мерам. Осуществление обработки обработчиком регламентируется договором, в котором указывается, что обработчик должен действовать только по инструкции оператора" <1>.

--------------------------------

<1> См.: Защита персональных данных. Опыт правового регулирования. С. 257.

В Испании обработка персональных данных пользователями должна регулироваться специальным договором, составленным в письменной или в какой-либо другой форме, позволяющей удостовериться в его подписании и содержании. В договоре должно быть четко установлено, что уполномоченное лицо должно обрабатывать персональные данные в строгом соответствии с инструкциями оператора, что это лицо не будет применять или использовать эту информацию в целях, отличных от тех, которые указаны в данном договоре, а также не будет ее сообщать, даже для ее сохранения, другим лицам <1>.

--------------------------------

<1> Защита персональных данных. Опыт правового регулирования. С. 110.

Так или иначе, но возможность передачи оператором части функций по обработке персональных данных специальному обработчику законодателем не учтена и это, пожалуй, самый серьезный недостаток Закона о персональных данных в его нынешней редакции. Без продуманного механизма реализации, закрепленного в его нормах, Закон становится не более чем декларацией.

К сожалению, в готовящихся законопроектах никаких дополнений относительно статуса оператора не планируется. Непонятно, почему столь важный и очевидный вопрос ускользнул от внимания создателей Закона, особенно если учесть, что разграничения в статусе операторов предусмотрены большинством европейских законов. Данная проблема тоже нуждается в дальнейшем правовом регулировании, которое обеспечило бы надежные гарантии безопасности персональных данных в процессе работы с ними операторов и обработчиков.

Возвращаемся к обязанностям оператора. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

Важнейшей обязанностью оператора при осуществлении обработки персональных данных является организационная и техническая защита баз персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 19 Закона о персональных данных).

Требования к обеспечению безопасности, в том числе требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем, установлены Постановлениями Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" <1>. Данными нормативными актами установлены общие и специальные технические и организационные требования к защите содержащихся в информационных системах персональных данных, в том числе биометрических. Конкретные средства и методы защиты (включая криптографические) устанавливаются ФСТЭК России и ФСБ России. Информационные системы должны проходить обязательную процедуру классификации в зависимости от объема обрабатываемых данных и степени возможных угроз. Порядок прохождения классификации установлен в совместном приказе этих ведомств и Мининформсвязи России <2>. Нормативно-методические документы ФСТЭК России определяют порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации). Нормативно-методические документы ФСБ России регламентируют порядок применения криптографических средств для защиты персональных данных и содержат рекомендации по выполнению этих работ.

--------------------------------

<1> СЗ РФ. 2008. N 28. Ст. 3384.

<2> Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" // Российская газета. 2008. 12 апреля.

Вышеупомянутое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных содержит развернутый комплекс требований к регламенту работы информационной системы и организации работы персонала, в совокупности обеспечивающих безопасность данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

- определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

- разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

- установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

- учет лиц, допущенных к работе с персональными данными в информационной системе;

- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, снижающим уровень их защищенности, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

- описание системы защиты персональных данных.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и их устранения.

Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков. В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования. Конкретные сроки проведения контрольных тематических исследований определяются ФСБ России.

Как мы видим, обязанности оператора по организационной и технической защите весьма обширны и требуют значительных материальных и административных ресурсов.

Рассмотрим другие обязанности операторов. При обращении либо при получении запроса от субъекта персональных данных оператор обязан безвозмездно сообщить ему информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними либо, в случае отказа в предоставлении субъекту персональных данных информации, в течение семи рабочих дней дать мотивированный ответ со ссылкой на федеральный закон, являющийся основанием для отказа (ст. 20 Закона о персональных данных).

Оператор обязан внести изменения, уничтожить или блокировать соответствующие персональные данные по предоставлению субъектом персональных данных сведений, подтверждающих, что персональные данные этого субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях оператор обязан уведомить субъекта персональных данных (ст. 20 Закона о персональных данных).

В некоторых европейских законах, в частности в Законе Франции "Об информатике, картотеках и свободах", предусмотрена обязанность оператора известить о внесенных исправлениях или уничтожении данных третьих лиц, которым были переданы данные <1>.

--------------------------------

<1> Защита персональных данных. Опыт правового регулирования. С. 91.

В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, на период проверки. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, предоставленных субъектом или уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан произвести уточнение персональных данных и снять их блокирование. В случае выявления неправомерных действий с персональными данными оператор обязан устранить допущенные нарушения. В случае невозможности устранения нарушений персональные данные уничтожаются. Об устранении нарушений или уничтожении персональных данных оператор уведомляет соответствующего субъекта персональных данных. Оператор обязан прекращать обработку персональных данных и уничтожать их незамедлительно по достижении цели обработки или в случае отзыва согласия соответствующим субъектом персональных данных (ст. 21 Закона о персональных данных).

Контроль и надзор в указанной сфере осуществляются ФСБ России и ФСТЭК России.

Перед началом осуществления деятельности по обработке персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (ч. ч. 1 и 3 ст. 22 Закона о персональных данных), функции которого в настоящее время осуществляет Роскомнадзор. Законом устанавливается, что уведомление, составленное в письменной форме и подписанное уполномоченным лицом, должно содержать:

1) наименование (ФИО) и адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер безопасности при обработке персональных данных;

8) дату начала обработки;

9) срок или условие прекращения обработки.

Приказом Минкомсвязи России и Роскомнадзора утвержден образец формы уведомления с рекомендациями по его заполнению <1>.

--------------------------------

<1> Приказ Минкомсвязи России и Роскомнадзора от 17 июля 2008 г. N 08 "Об утверждении образца формы уведомления об обработке персональных данных" // СПС "КонсультантПлюс".

Роскомнадзор вносит указанные в уведомлении сведения в реестр операторов. Сведения являются общедоступными.

В ряде случаев оператор вправе осуществлять деятельность по обработке персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных. Анализ случаев, указанных в ч. 2 ст. 22 Закона о персональных данных, показывает, что к ним относятся: обработка персональных данных субъекта, связанного с оператором трудовыми отношениями, отношениями договорного характера; обработка общедоступных персональных данных; обработка данных, включенных в государственные информационные системы обеспечения безопасности.

Следует обратить внимание на то, что в п. 7 Рекомендаций по заполнению образца уведомления в качестве разъяснения указано, что к "категориям субъектов персональных данных" относятся в том числе работники, состоящие в трудовых отношениях с оператором. При этом в п. 1 ч. 2 ст. 22 Закона о персональных данных прямо говорится, что оператор вправе осуществлять без уведомления обработку персональных данных субъектов, связанных с оператором трудовыми отношениями. У правоприменителя может возникнуть закономерный вопрос: как же правильно поступить в этом случае, уведомлять или нет?

Термин "вправе" в юриспруденции означает "может, но не обязан". То есть, по смыслу Закона, оператор может уведомить уполномоченный орган о начале обработки персональных данных своих сотрудников, но не обязан этого делать. Однако из текста Рекомендаций можно, скорее, заключить обратное.

Использование в нормативных актах формулировок, допускающих неоднозначное толкование, совершенно недопустимо, является свидетельством низкого уровня правовой грамотности законодателя и помимо прочего сильно затрудняет правоприменение. Итак, несмотря на некорректную формулировку Рекомендаций, оператор именно вправе, но не обязан уведомлять уполномоченный орган об обработке персональных данных субъектов, связанных с ним трудовыми отношениями.

Необходимо особо отметить, что Закон о персональных данных закрепляет дозволительный метод правового регулирования в отношении операторов персональных данных: прежде чем начать свою деятельность, они обязаны уведомить о своем намерении уполномоченный орган по защите прав субъектов персональных данных. В ряде случаев не требуется и уведомления.

Трудно сказать, насколько такой либеральный подход оправдан. С одной стороны, наше государство изобилует примерами чрезмерного "зарегулирования" тех или иных сфер экономики (например, малого бизнеса), чем мешает их развитию. С другой стороны, слабые механизмы контроля могут свести на нет защиту прав субъектов персональных данных.

В некоторых странах, например в Швеции, законодатель более строго относится в порядку деятельности операторов. Имеется специальный уполномоченный орган, именуемый Комиссией по проверке данных, который выдает специальные свидетельства (лицензии) на ведение файлов персональных данных всем контролерам файлов (т.е. операторам. - Н.П.), причем установлены различные требования для операторов - государственных органов и операторов - частных лиц. Разрешения на создание и ведение файлов персональных данных, касающихся лиц, не являющихся членами, сотрудниками или клиентами контролера файлов, или лиц, находящихся с контролером файлов в аналогичных отношениях, могут выдаваться только при наличии особых на то оснований <1>. Похожий порядок установлен во Франции и некоторых других европейских странах <2>. Нужно отметить, что на стадии подготовки российского законопроекта "О персональных данных" условие о лицензировании деятельности операторов фигурировало в некоторых его редакциях, но затем, как мы видим, было заменено более мягким уведомительным порядком.

--------------------------------

<1> Защита персональных данных. Опыт правового регулирования. С. 79.

<2> Там же. С. 86.

Особого внимания заслуживает тема прав субъекта персональных данных в отношении обработки персональных данных. Ведь именно обеспечение прав личности является одной из важнейших целей законодательства о персональных данных.

Права субъекта персональных данных можно условно разделить на три группы: права в отношении оператора (например, право на отказ в предоставлении персональных данных); права в отношении обработки персональных данных (например, право на блокирование данных); права по обжалованию и защите интересов (например, право на возмещение вреда). Все эти права позволяют самому субъекту осуществлять контроль за сбором и обработкой его персональных данных на разных стадиях этого процесса.

Прежде всего, как мы уже говорили, в ряде случаев субъект персональных данных имеет право отказаться от обработки своих персональных данных или отозвать уже данное согласие (ст. 9 Закона о персональных данных). Далее, субъект персональных данных имеет право на информацию об операторе (о месте его нахождения, о наличии у него персональных данных, относящихся к соответствующему субъекту персональных данных), а также имеет право на ознакомление с этими данными. Если, по мнению субъекта персональных данных, его данные являются устаревшими, неполными, недостоверными, незаконно полученными или являются избыточными для заявленной цели обработки, субъект персональных данных имеет право путем обращения или направления соответствующего запроса оператору требовать уточнения, блокирования или уничтожения содержащихся у оператора персональных данных.

В некоторых случаях право субъекта на доступ к своим персональным данным может быть ограничено. Эти ограничения действуют, когда обработка персональных данных субъекта производится в целях обеспечения обороны и безопасности страны и охраны правопорядка. Однако надо признать, что эти ограничения незначительны. В некоторых европейских странах эти ограничения более существенные. Например, в Венгрии и Франции доступ к своим персональным данным субъект получает на возмездной основе, и этот доступ ограничен определенным числом обращений в год <1>.

--------------------------------

<1> См.: Защита персональных данных. Опыт правового регулирования. М., 2001. С. 90, 112.

Обработка персональных данных в целях продвижения товаров и услуг (прямой маркетинг), а также в целях политической агитации допускается только при наличии согласия субъекта персональных данных (ст. 15 Закона о персональных данных).

Интересно отметить, что такой порядок, безусловно, защищает интересы субъектов персональных данных, однако практически парализует деятельность маркетинговых служб. Маркетологи привыкли к свободному обороту информации о потребителе, которая необходима им не только для осуществления прямого маркетинга, но и для более широких целей, например для разработки концепции продвижения того или иного бренда. Вновь принятый Закон создал для них немало проблем, связанных с получением письменных согласий субъектов персональных данных.

Впрочем, если судить по количеству почтовой (как электронной, так и обычной) рекламной информации, приходящей на адрес автора этой работы, маркетологи пока не приняли новые законодательные требования всерьез. Количество адресных звонков из банков и страховых компаний ("Здравствуйте, Наталья Ивановна! Мы хотим предложить вам то-то и то-то") с предложениями различных услуг ничуть не сократилось. Автор не перестает удивляться, сколько страховых и банковских организаций осведомлены о его скромной персоне. На вопрос, откуда получены персональные данные, операторы не дают никакого вразумительного ответа и спешат распрощаться.

И все-таки, несмотря на то что новые требования серьезно усложнили маркетинговую деятельность, хочется напомнить, что времена дикого капитализма миновали, а защита персональных данных личности - это норма в любом развитом демократическом государстве.

По общему правилу в отношении субъекта персональных данных запрещается принятие решений, порождающих для него юридические последствия, на основании автоматизированной обработки персональных данных (ст. 16 Закона о персональных данных). Лишь в некоторых случаях такое решение может быть принято при наличии письменного согласия субъекта персональных данных или в случаях, предусмотренных федеральными законами. При этом на оператора возлагается обязанность разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения. Оператор также обязан предоставить возможность заявить возражение против принятия такого решения и разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Субъект персональных данных имеет право на защиту своих интересов в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке, а также на возмещение убытков и (или) компенсацию морального вреда (ст. 17 Закона о персональных данных). Отметим, что прямой корреспондирующей обязанности оператора возместить ущерб субъекту персональных данных Закон о персональных данных не содержит. В нем говорится лишь, что при нарушении соответствующих норм субъекты несут юридическую ответственность, в том числе и гражданско-правовую.

Статьей 12 Закона о персональных данных предусмотрена возможность трансграничной передачи персональных данных. Она представляет собой передачу персональных данных оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

По общему правилу трансграничная передача персональных данных возможна, только если на территории государства, в которое осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных. Если адекватный уровень защиты прав субъектов персональных данных в иностранном государстве отсутствует, то передача возможна в следующих случаях:

1) наличия письменного согласия субъекта персональных данных, а при его отсутствии - в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц;

2) предусмотренных различными международными договорами Российской Федерации об оказании правовой помощи;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства.

Закон о персональных данных не содержит, к сожалению, никаких установлений о том, на какой орган возлагается обязанность проведения экспертизы степени защиты персональных данных в иностранных государствах, какова ее процедура и как оформляется результат. Вероятно, это обязанность органа или лица, осуществляющих трансграничную передачу, либо уполномоченного органа по защите прав субъектов персональных данных. Очевидно, что располагать возможностями определить уровень защиты в иностранном государстве может лишь государственный (или иной публичный) орган. У физического или юридического лица такие возможности ограничены.

По вопросу применения этой весьма туманной нормы Мининформсвязи России издало не менее туманное письмо от 13 мая 2009 г. N ДС-П11-2502 "Об осуществлении трансграничной передачи персональных данных" <1>, где фактически было сказано о том, что Министерство не знает, как применять эту норму, и может лишь предложить некоторые рекомендации. В частности, в письме говорится, что "оценка законодательной базы иностранных государств на предмет адекватности обеспечения защиты прав субъектов персональных данных в компетенцию Министерства не входит. Вместе с тем исходя из общего смысла норм Федерального закона часть 1 статьи 12 устанавливает обязанность оператора предварительно убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации".

--------------------------------

<1> СПС "КонсультантПлюс".

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите физических лиц. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

В настоящее время прорабатывается вопрос подготовки проекта федерального закона "О внесении изменений в Федеральный закон "О персональных данных". Предполагаемые поправки будут касаться совершенствования механизмов контроля и надзора за обработкой персональных данных, в том числе вопросов, связанных с определением порядка и условий трансграничной передачи данных.

Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены в Постановлении Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" <1>.

--------------------------------

<1> СЗ РФ. 2008. N 38. Ст. 4320.

Согласно этому нормативному акту обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

При неавтоматизированной обработке персональные данные должны фиксироваться на определенных материальных носителях и быть отделены от иной информации. Персональные данные, собранные для несовместимых целей, должны фиксироваться на различных материальных носителях.

При использовании типовых форм документов должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

Много практических вопросов связано с обработкой персональных данных, собираемых для однократного пропуска на территорию того или иного объекта. Общеизвестно, что этот порядок у нас широко используется и зачастую совершенно необоснованно. Положением устанавливаются следующие требования:

а) необходимость ведения журнала (реестра, книги) персональных данных должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

Поэтому, если у вас требуют паспортные данные для пропуска на территорию какого-нибудь богом забытого объекта, можете смело требовать акт оператора, на основании которого происходят сбор и обработка персональных данных. Впрочем, зная российскую действительность, легко предположить, что такого акта не окажется, но без документов вас тем не менее не пустят.

При осуществлении обработки персональных данных должны обеспечиваться соответствующие организационные меры безопасности, связанные с обеспечением конфиденциальности персональных данных. Эти меры в общем аналогичны мерам безопасности, применяемым при обработке персональных данных в автоматизированных информационных системах (за исключением, естественно, требований к техническим системам). Они включают в себя, как правило, регламент работы персонала, порядок доступа в помещение, где хранятся персональные данные, и т.п.

Контроль и надзор за соблюдением законодательства в области защиты персональных данных осуществляется уполномоченным органом по защите прав субъектов персональных данных. Как уже говорилось, в настоящее время его функции выполняет Роскомнадзор. Автор вынужден постоянно делать оговорку "в настоящее время", так как система органов исполнительной власти постоянно реформируется, и не исключено, что к моменту выхода книги эти функции уже будет выполнять другое ведомство или то же ведомство, но с другим названием.

Итак, этот исполнительный орган будет наделен традиционным набором контрольно-надзорных функций, таких как право производить проверки, запрашивать необходимую информацию, требовать устранения нарушений, обращаться по факту нарушений в суд и т.п.

Тот факт, что контролирующий орган не является независимым, а относится к исполнительной ветви власти, говорит о потенциально невысоком уровне правозащиты. Ведь не случайно большинство европейских стран учреждают независимый контролирующий орган - по аналогии с институтом омбудсмена. Создание независимого института обусловлено необходимостью контроля за деятельностью различных ветвей государственной власти и создания более доступного для субъектов персональных данных и оперативно действующего механизма защиты их прав.

Во Франции контроль и надзор за соблюдением законодательства в области защиты персональных данных осуществляется Национальной комиссией по информатике и свободам, которая является административно независимым органом. Порядок ее работы и полномочия, состав и статус ее членов закреплены отдельными статьями в Законе "Об информатике, картотеках и свободах", который регулирует обработку персональных данных во Франции <1>. В Испании, как мы уже говорили, аналогичные функции выполняет Агентство по защите персональных данных.

--------------------------------

<1> См.: Защита персональных данных. Опыт правового регулирования. М. 2001.

Правовой режим обработки персональных данных, установленный Законом, обеспечивается в случае его нарушения применением мер гражданской, уголовной, административной, дисциплинарной, материальной ответственности. Вопросы ответственности будут подробно рассмотрены в гл. 2 настоящей работы.

Анализируя отношения субъектов в исследуемой сфере, можно обратить внимание на следующее. Отношения между одними и теми же субъектами в зависимости от стороны, их инициировавшей, могут носить различный характер. По этому признаку соответствующие отношения можно условно разделить на три группы:

- отношения "оператор - субъект";

- отношения "субъект - оператор";

- отношения "оператор - оператор".

Каждая из этих групп имеет свои особенности, обусловленные характером взаимосвязей участников отношений. Отношения "оператор - субъект" охватывают процесс сбора персональных данных и являются в основном неравноправными, так как строятся в большинстве случаев на базе властных полномочий государственных органов и их должностных лиц. Реализация этих правоотношений направлена прежде всего на обеспечение информационными ресурсами государственного аппарата, который нуждается в них для выполнения таких функций, как защита безопасности и правопорядка, налоговый контроль, медицинское и пенсионное страхование, социальная поддержка и т.п.

В отношениях "субъект - оператор" положение сторон другое. Участники этих отношений практически равноправны. В основе этих отношений лежит возможность контроля со стороны личности за использованием информации о ней. Реализация этих правоотношений служит интересам субъекта персональных данных, который имеет возможность контролировать процесс накопления сведений о нем, имеет право доступа к своим персональным данным, хранящимся у оператора, и имеет право требовать уточнения, блокирования или уничтожения этих данных в установленных законом случаях. Фактически речь идет о защите прав субъекта персональных данных, которая, как известно, является приоритетной.

Третья группа отношений "оператор - оператор" обеспечивает реализацию функций операторов, государственных органов и, в некоторых случаях, субъекта персональных данных. Возможности контроля со стороны субъекта персональных данных при реализации этих правоотношений ограниченны, несмотря на то что, как правило, напрямую затрагивают его интересы.

Правовое регулирование защиты персональных данных должно строиться на балансе вышеуказанных групп отношений "оператор - субъект", "субъект - оператор", "оператор - оператор". Баланс этот представляет собой баланс интересов государства и личности.

В сущности, проблема защиты персональных данных граждан представляет собой проблему согласования интересов личности и государства. Гражданин стремится максимально оградить свою частную сферу от вмешательства государства. Государство же для осуществления своих функций нуждается в информации о гражданах. Следовательно, задача правового регулирования в этой области состоит в том, чтобы при минимальном нарушении приватности частной жизни обеспечить государство необходимыми информационными ресурсами.

Однако граница между частной жизнью и жизнью, имеющей социальный характер, достаточно условна и зависит от многих факторов. Поэтому при оценке риска вмешательства в частную жизнь должны учитываться многие составляющие, в частности характер и объем информации, подлежащей включению в автоматизированную систему, то, из каких источников предполагается получать такую информацию, а также отношение или вероятное отношение субъектов к обработке своих персональных данных. Как гласит Закон Венгрии "О защите персональных данных и публикации данных, представляющих общественный интерес", "любые... интересы, связанные с использованием данных, не могут нарушать прав, относящихся к защите персональных данных, а также права заинтересованного лица на неприкосновенность частной жизни" <1>.

--------------------------------

<1> См.: Защита персональных данных. Опыт правового регулирования. С. 105.

В связи с этим именно оценка риска вмешательства в частную жизнь индивида и степень причиненного таким вмешательством ущерба (как материального, так и морального) должны стать для законодателя своеобразным камертоном, помогающим оценить и уравновесить интересы личности и государства в сфере обработки персональных данных. Однако, как показало статистическое исследование, проведенное оргкомитетом общественных слушаний по правовым проблемам обработки персональных данных, большинство опрошенных полагают, что в данном вопросе приоритетными являются интересы государства <1>. К сожалению, это свидетельствует о том, что менталитет российского общества пока не готов к восприятию либерально-демократических ценностей современного мира.

--------------------------------

<1> Интернет-источник www.fz-152.org.

На основе Закона о персональных данных уже принято немало подзаконных актов. Это говорит о том, что правовое регулирование в данной сфере развивается. В частности, принят в обновленной редакции уже упомянутый Указ Президента РФ от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела". В Положении конкретизируются требования к сбору и обработке персональных данных государственных гражданских служащих и даже цели этой деятельности. Например, установлено, что обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, в целях обеспечения личной безопасности гражданского служащего и членов его семьи, а также для обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей.

Рядом федеральных органов исполнительной власти приняты нормативные акты, устанавливающие порядок обработки персональных данных служащих этих органов, например Федеральным космическим агентством принято Положение об организации работы с персональными данными государственного гражданского служащего Федерального космического агентства и ведении его личного дела и Список должностей государственных гражданских служащих, уполномоченных на обработку персональных данных и несущих ответственность в соответствии с законодательством РФ за нарушение режима защиты этих персональных данных <1>. Принятие таких актов исключительно важно, так как с их помощью устанавливаются специальные нормы, учитывающие специфику правового регулирования обработки персональных данных в отдельных сферах государственного управления и общественной жизни, а иногда и специальный порядок ответственности. Например, в упомянутом Положении закреплено, что гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" и другими федеральными законами. Это означает, что виновное лицо за соответствующие нарушения может понести дисциплинарную ответственность в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации". Наличие таких норм, общих и специальных, и создает в совокупности эффективный механизм реализации законодательства о защите персональных данных.

--------------------------------

<1> Приказ Федерального космического агентства от 1 февраля 2007 г. N 29к "О защите персональных данных государственных гражданских служащих Федерального космического агентства" // СПС "КонсультантПлюс".

Завершая тему обработки персональных данных, остановимся на тех положениях Закона, которые, на наш взгляд, нуждаются в доработке.

Передача персональных данных для целей профессиональной деятельности журналиста, литературной, научной или иной творческой деятельности должна осуществляться с согласия субъекта персональных данных. Поскольку подобные виды деятельности не связаны напрямую с обеспечением государственных, общественных и личных интересов как самого субъекта персональных данных, так и других лиц, по нашему мнению, субъект персональных данных должен иметь право самостоятельно решать вопрос о предоставлении своих персональных данных для названных целей.

В перечень специальных категорий персональных данных, по нашему мнению, следует включить сведения об усыновлении (удочерении), сведения о погашенной судимости, об участии в уголовном судопроизводстве в качестве подозреваемого, о финансовой помощи и об услугах. Обработку этих сведений должны быть вправе осуществлять только специально уполномоченные органы.

Закон о персональных данных нуждается в дальнейшей доработке правового статуса оператора и должен быть дополнен понятием "обработчик персональных данных".

В дальнейшей разработке, причем безотлагательной, нуждаются нормы о трансграничной передаче персональных данных в части проведения экспертизы уровня защиты персональных данных в иностранных государствах. До настоящего времени не определен ни полномочный орган, который будет осуществлять экспертизу, ни порядок ее проведения.

Кроме того, с принятием Закона о персональных данных необходимо проанализировать законодательство об ответственности за нарушения в этой сфере и выработать положения по его корректировке, к чему мы далее и переходим.